リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20852-1 アドバイザリで言及されています。

    roundcubemail の変更点:

    - 1.6.16 に更新してください
      - IMAP ID コマンドの潜在的な長すぎる値を修正します(#10136)
      - セキュリティ:ドラフト復元ダイアログのサブジェクトフィールドに保存された XSS/HTML/CSS インジェクションを修正します [CVE-2026-48849] [bsc#1266337]
      - セキュリティ:「animate attributeName=style」を介して HTML サニタイザーの CSS インジェクションバイパスを修正します [CVE-2026-48848] [bsc#1266336]
      - セキュリティ:preg_replace バックスラッシュエスケープバイパスを介してプラグインvirtuser_query事前認証 SQL インジェクションを修正します [CVE-2026-48842] [bsc#1266329]
      - セキュリティ:特定のローカルアドレス URL を介した SSRF バイパスを修正します [CVE-2026-48843] [bsc#1266331]
      - セキュリティ:CSS var() を介してリモート画像ブロックのバイパスを修正します [CVE-2026-48846] [bsc#1266334]
      - セキュリティ:リモートリソースが許可されなかったときのローカル/プライベート URL フェッチのバイパスを修正します [CVE-2026-48845] [bsc#1266333]
      - セキュリティ:redis/memcache セッションポイズニングバイパスを介した事前認証の任意ファイル削除を修正します [CVE-2026-48847] [bsc#1266335]
      - セキュリティ:コードインジェクションの脆弱性を修正します - LDAP 自動値オプションのコード評価のサポートを削除します [CVE-2026-48844] [bsc#1266332]

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

openSUSE 16 セキュリティ更新:roundcubemail(openSUSE-SU-2026:20852-1)

high Nessus プラグイン ID 318192

バージョン 1.2